0

如果我有这段代码:

query.php:

$secret = 'This should not be displayed';
$id = mysql_real_escape_string($_GET['id']);
try {
  mysql_query("SELECT * FROM USERS WHERE USER_ID = '$id'");
  }

catch(Exception $e) {
  echo "Could not execute" . "SELECT * FROM USERS WHERE USER_ID = '$id'";
}

$id 已正确转义,因此没有人可以向我的查询注入任何代码,但是,我想知道我是否会因为异常处理部分中的回显而回显 varquery.php?id=$secret的内容?$secret

4

1 回答 1

0

您可以安全地进行该操作;)

如果你$id是整数 put (int)$idor $id + 0,等等...

祝你好运!

于 2012-05-30T14:29:29.750 回答